하늘길마저 뚫린 개인정보, 에어프랑스-KLM 해킹 사건
여행의 설렘은 공항에서 출발하지만, 개인정보 유출은 생각보다 먼 곳에서 시작될 수 있습니다. 최근 에어프랑스-KLM그룹의 고객 데이터가 해킹을 당해, 한국인 피해자까지 포함된 사실이 드러났습니다.
이번 사건은 단순히 항공권 예약 정보만의 문제가 아니었습니다. 해커들은 에어프랑스가 사용하는 세일즈포스(Salesforce) 고객관리 플랫폼에 침입해, 이름, 연락처, 이메일 주소와 같은 중요한 개인정보를 손에 넣었습니다. 다행히 신용카드 정보나 여권 번호 등은 유출되지 않았지만, 이름과 연락처만으로도 충분히 2차 피해가 가능하다는 점이 문제입니다.
항공권 취소도 안전망이 되지 못했다
피해자 A씨는 7월 말 인천~파리 항공권을 결제한 뒤, 며칠 후 환불을 요청했습니다. 하지만 2주 뒤 받은 메일은 ‘환불 완료’ 안내가 아닌 ‘개인정보 유출 피해자’ 통보였습니다. 예약을 취소했더라도 이미 시스템에 남아 있는 개인정보가 해커의 손에 넘어갔기 때문입니다.
이는 마치 집을 이사한 뒤에도, 예전 집 주소가 그대로 인터넷 명부에 남아 있어 원치 않는 광고 우편이 계속 날아오는 것과 비슷합니다.
해외 본사의 장벽
이번 사건이 특히 까다로운 이유는 에어프랑스 본사가 프랑스에 있다는 점입니다. 우리나라 개인정보보호위원회는 국내 사업자나 한국에서 개인정보를 처리하는 사업자만 직접 조사하고 제재할 수 있습니다. 해외 본사 사건은 프랑스의 개인정보 감독기관(CNIL)이 처리하게 되는데, 이 과정에서 언어·절차·비용 등 여러 장벽이 피해자의 앞을 가로막습니다.
게다가 프랑스와 유럽연합(EU)에서는 GDPR(일반개인정보보호법)이 적용되며, 유출 사실을 알게 된 시점부터 72시간 이내에 보고해야 하는 엄격한 규칙이 있습니다. 이를 어기면 막대한 과징금이 부과됩니다. 그러나 제재가 내려진다 해도, 한국인 피해자가 직접 보상을 받기까지는 긴 시간이 걸리고, 복잡한 절차를 거쳐야 합니다.
이번에도 언급되는 세일즈포스
에어프랑스-KLM의 사건은 이번이 처음이 아닙니다. 최근 Pandora와 Chanel 역시 세일즈포스 고객관리 시스템을 매개로 해킹 피해를 입었습니다.
- Pandora: 이름, 생년월일, 이메일 주소가 유출됐으며, 신용카드나 비밀번호는 안전했지만 고객 불안은 컸습니다.
- Chanel: 미국 고객 센터 데이터(이름, 이메일, 전화번호, 주소)가 유출되었습니다.
이들 사례 모두 세일즈포스 자체 취약점이 아닌, 직원 계정을 노린 소셜 엔지니어링 공격이 원인이었습니다. 즉, 기술 방어벽이 튼튼해도 사람을 속이면 문은 열릴 수 있다는 점을 보여줍니다.
유출된 정보, 어디로 흘러갈까요?
연락처와 이메일이 외부에 노출되면, 해커나 사기 조직은 이를 기반으로 맞춤형 피싱을 시도할 수 있습니다. 예를 들어:
- 항공사 사칭 문자
에어프랑스 고객님, 예약 확인이 필요합니다. 아래 링크에서 정보 확인해 주세요.
→ 클릭 시 가짜 로그인 페이지로 연결되어 계정이 탈취됩니다.
- 환불 관련 긴급 메일
환불이 처리되지 않았습니다. 즉각 조치 없이는 계정이 정지됩니다.
→ 사용자의 당황을 유도해 클릭하도록 만듭니다.
- 공항 보안 사칭 안내
공항 보안 검사가 완료되지 않았습니다. 아래 보고서를 확인하세요.
→ 파일 다운로드 시 악성코드 설치로 이어질 수 있습니다.
이는 마치 열쇠를 잃어버린 줄도 모르는 사이, 누군가 그 열쇠를 복제해 두고 훗날 집에 침입하는 것과 같습니다. 피해는 시간이 지난 후 나타날 수 있습니다.
블랙쏘세지로 링크를 안전하게
이번 사건처럼 개인정보가 유출되면, 피싱 링크가 달린 문자나 이메일이 날아올 가능성이 높아집니다. 문제는 이를 구분하기 어렵다는 것입니다.
블랙쏘세지는 받은 링크를 스마트폰에서 직접 열지 않고, 원격 브라우저 격리 기술로 대신 열어주는 서비스입니다. 쉽게 말해, 위험할 수 있는 웹페이지를 내 휴대폰이 아닌, ‘멀리 떨어진 안전한 컴퓨터’에서 먼저 열어보고 그 화면만 보여주는 방식입니다. 덕분에 악성코드나 피싱 페이지에 직접 노출되지 않고도 내용을 확인할 수 있습니다.
